Im heute veröffentlichtem Firefox 4 ist zum Schutz vor Webtracking eine neue Funktion eingebaut.  Beim Aufruf einer Seite wird dem Server mitgeteilt, dass der Besucher nicht verfolgt werden will. Zur Zeit werden in den USA Webtracking-Anbieter unter Druck gesetzt, da eine lückenlose Überwachung aller Internetseiten befürchtet wird. Daher wird der Wunsch der Besucher nicht verfolgt zu werden bald von den größten Webtracking-Anbietern unterstützt werden.

Um die „Do not Track“ genannte Option zu aktivieren muss bei den Einstellungen nur der Hacken bei der Option „Webseiten mitteilen, dass ich nicht verfolgt werden möchte“ gesetzt werden. Diese Einstellung befindet sich bei den Einstellungen unter „Erweitert“ >> „Allgemein“.

Beim Aufrufen einer Internetseite sendet der Browser eine Identifikationsstring mit. Dieser enthält den Namen des Browser mit der Versionsnummer und dem Betriebssystem. Mit Hilfe von JavaScript lassen sich die Bildschirmbreite, -höhe und -auflösung auslesen.

Unter https://panopticlick.eff.org ist ein Test, der ein paar Informationen über den Besucher sammelt und die gewonnen Informationen mit mehrere hunderttausend gespeicherten Daten vergleicht. Somit kann festgestellt werden, wie einzigartig der eigene Browser ist.

Erweiterungen wie NoScript für Firefox deaktivieren JavaScript und verhindert dadurch das auslesen der Bildschirmwerte und der installierten Browsererweiterungen.

Die Verbraucherzentrale Bundesverband (vzbv) stellt auf ihrer Internetseite auch einen Musterbrief und eine Liste der Auskunfteien zur Verfügung. Da auch viele dieser Scoring-Werte falsch sind, empfiehlt die vzbv jedem Verbraucher von seinem neuen Auskunftsrecht Gebrauch zu machen.

Das einzige Problem, das weiterhin besteht ist ein sogenannter Man-in-the-Middle-Angriff. Wenn Sie versuchen mit ihrer Bank unter https://www.bank.de eine Überweisung einzureichen, so kann der Angreifer ihre Verbindung abfangen und sich als https://www.bank.de ausgeben und die Daten mit einem ihm bekannten Schlüssel verschlüsseln. Wenn er die Daten dann an die echte Bank weiterleitet, so sehen sie keinen Unterschied und der Angreifer kann alle Passwörter mitlesen und im entscheidenden Moment die Zielkontonummer und den Betrag ändern.

Um das zu verhindert, muss jede verschlüsselte Verbindung ein Zertifikat haben. Dieses kann man mit einem Ausweis gleichsetzten, der bestätigt, dass der für die Verschlüsselung verwendete Schlüssel auch tatsächlich zu der Adresse www.bank.de gehört. Dieser Ausweis ist auch nur eine bestimmte Zeit gültig, falls also der Name des Besitzers nicht mit der im Browser eingegeben Adresse übereinstimmt oder das Zertifikat schon abgelaufen ist, so wird eine Warnung angezeigt.

In einer Forschungsarbeit bezweifeln die Wissenschaftler Christopher Soghoian and Sid Stamm nun, das diese Methode sicher ist. Da in einigen Ländern die Regierungsbehörden vermutlich die Macht haben Zertifizierungsstellen, die solche Ausweise für Domains ausstellen, zu zwingen ihnen beliebige Zertifikate zu geben. Auch einige staatliche Zertifizierungsstellen werden von den gängigen Browsern ohne Nachfrage akzeptiert. Anscheinend wird diese Methode schon eingesetzt, da den Forschern beim Hersteller Packet Forensics eine Produkt aufgefallen ist, das genau für diesen Einsatz gebaut wurde. Damit können beliebige Verbindungen abgehört werden, wenn ein gültiges Zertifikat für die Domain vorhanden ist.

Abhilfe soll eine Erweiterung für Firefox schaffe, die zur Zeit entwickelt wird. Mit der Certloc genannten Erweiterung, soll der Anwender gewarnt werden, falls sich ein Zertifikat ändert und der Verdacht eine Manipulation besteht. Bis diese Erweiterung fertig ist, bleibt nur bei wichtigen Verbindungen das Zertifikat selbst anzuschauen und falls die lokale Bank auf einmal ein Zertifikat aus China oder USA vorweist die Verbindung abzubrechen.

http://www.heise.de/newsticker/meldung/EFF-zweifelt-an-Abhoersicherheit-von-SSL-963857.html

Viel beunruhigender ist aber, was Andere über sie erzählen können. So ist schon länger bekannt, dass Freunde auf Fotos verlinkt werden können und so Dinge mit einem Profil verknüpft sind, die der Benutzer eigentlich nicht freigeben wollte.

Was aber nur wenig bekannt ist, dass über Leute, die nicht in diesen Netzwerken angemeldet sind auch Daten gespeichert werden können. Ein beeindruckendes Beispiel liefert dieser Artikel, in dem beschrieben wird, was Facebook alles über Nicht-Mitglieder weiß. Ähnlich dürfte es sich bei Google verhalten. Dort ist es auch Möglich die Kontakte seinen Computers oder Handys hoch zuladen um diese zu synchronisieren.